第一篇:ISO质量管理体系审核员考试真题
ISO9000内审员考试试卷
(二)一、是非题(30分)
1、ISO9001和ISO9004是协调一致的一对标准,他们也可单独使用。(√)
2、ISO9001标准没有规定产品要求(√)
3、没有顾客投诉就说明顾客是满意的(╳)
4、内部质量管理体系审核的结果应提交管理评审。()
5、组织应批准外来文件,并控制其发行。(√)
6、质量体系文件指的是质量手册和程序文件。(×)
7、公司必须规定质量方针,并形成文件,且确保其各级人员均能理解。(√)
8、在管理评审会议上必须评审公司的服务质量状况。(√)
9、口头订单也必须进行评审。(√)
10、“顾客财产”,就是指组织使用的顾客财产。(×)
11、内部质量体系审核又称作为第一方审核。(√)
12、内审的目的是找出不符合项以便改正,即发现的问题越多,审核员的工作越出色。(×)
13、内审应由与被审核部门无直接责任的人员进行,但最好在有关人员的配合下进行。(√)
14、要素、场所和活动是质量体系审核的范围的三大主要内容。(√)
15、审核小组必须由超过2人组成。(×)
16、在选定审核员时,应考虑下列因素:资格、业务范围、专业知识、工作中的协调和为被审核部门所接受。(√)
17、内审时,若按选定的样本调查后,没有发现不合格,则应扩大样本的品种及数量,直到发现不合格项。(×)
18、对外来标准如果属国家正式颁布的文件不需要控制。(×)
19、审核完成后,必须向被审核部门发出审核报告,审核报告可以用不合格项报告来代替。(×)
20、内部质量审核员必须是经过培训合格的熟悉公司的业务、了解质量管理的基本知识的公司正式职员。(×)
21、对某项产品返工后仍需重新进行检查。(√)
22、公司应建立系统以确保员工意识到所从事活动的相关性和重要性及如何为实现质量目标作出贡献。(√)
23、最高管理者应确保在组织的相关职能和层次上建立质量目标。(√)
24、公司应对顾客满意/不满意的资料进行分析,以采取相应的预防行动。(√)
25、公司应对培训的有效性进行评估,以确保人员的能力满足工作所需。(√)
26、公司所建立的质量管理体系必须同时满足客户的要求及法律、法规的要求。(√)
27、公司应建立与顾客沟通的渠道。(√)
28、所有原材料、半产品和产品的不合格必须进行识别和处理。(√)
29、组织应识别影响产品符合性的外包过程,并实施控制。(√)
30、预防措施是消除不合格潜在原因,以防止不合格发生。(√)
二、多项选择题(20分)(在此选择答案中,有一项或多项正确答案,漏选一项或错选 一项均不能得分)
1、内部质量审核有哪些特点?(A、B、C、D)
A)正规性 B)系统性 C)独立性 D)审核是一个抽样的过程 E)以上均不是
2、工序上技艺评定准则尽量采用(A、B、C)
A)书面标准 B)样品 C)图示解释 D)操作经验
3、在下列哪种情况下须进行追加审核?(E)
A)发生了严重的质量问题或客户有重大投诉
B)组织的领导层、录属关系、内部机构、产品、质量方针和目标等较大改变;
C)第三方审核后获得认证注册资格和证书,而证书即将到期又希望继续保持认证资格。
D)在正式审核时,不合格项超过50项
E)以上均是
F)以上均不是
4、合同修改后应:(B)
A)重新签订合同 B)将合同修改的内容传递给相关部门
C)对合同修订的内容进行重新评审 D)重新签订合同所有内容再评审
5、审核员在审核时的不可为的行为是:(A、B、C、D)
A)为了照顾他人而不能坚持其立场
B)忽略和将他人的需求、观点和感受置之度外
C)表达自己的要求、观点和感受
D)以审讯者的语气提问。
E)提出专业性和建设性的意见
6、内部质量审核的正规性是(B)
A)审核依据正式特定的要求进行
B)审核必须按正式程序进行
C)审核只能由资格的人员进行
D)审核必须根据客观证据作出判定
E)审核结果必须有正式报告和记录
7、内部质量体系审核的依据:(C)
A)合同要素 B)质量文件 C)ISO9001:2000标准
D)法律、法规要求 E)国内、国际标准
8、审核抽样时,应该(A)
A)随机抽样 B)选取适当数量的样本,选择样本要有代表性
C)审核员随机抽样 D)都得被审核人员同意 E)样本越多越好
9、质量审核包括以下几方面:(A、C、D)
A)产品质量审核 B)服务质量审核 C)过程质量审核 D)质量体系审核
10、企业应通过以下哪些活动或其结果来促进质量管理体系的持续改进:(A)内部质量审核 B)管理评审 C)质量信息统计和分析
D)质量方针和目标的策划和控制 E)以上全是
三、简述题(20分)
1、试述内审的一般顺序(4分)
2、画出ISO9001:2000质量管理体系过程模式(4分)
E)
3、质量体系审核范围有哪三大内容?(4分)
4、什么是质量管理八大原则?(4分)
5、试述客观证据的定义(4分)
四、不合格项判定(20分)根据下列事实,判断是否为不合格,如果是,请写出不符合ISO9001中最适当的条款,并说明理由。
1、在对客户的投诉关于天花板漏水处理时,物业部人员已采取了纠正措施,为了防止该类问题的再次发生,物业部采取了预防措施,预防措施须在99年2月底完成,物业部人员在98年10月对纠正措施进行验证,发现是有效的,于是关闭了该份客户投诉档案。不符合8.5.2对于已发生的不合格,只采取纠正措施,无须采取预防措施.2、在酒店大堂,大堂温度控制每天的记录中几乎都是20℃,按温度控制标准其温度控制范围为20℃+/-5℃,大堂经理说这一温度控制并不重要,而且以前也未因此出现顾客投诉。不符合7.5.1条理由是大堂经理说:“温度控制并不重要”不符合文件规定
3、某酒店在每年一次的公司董事会议上,均邀请了公司中层以上人员参加讨论公司的发展方向,在公司董事会议规定内要求,须对每年一次的内审结果、客户投诉、公司的质量目标的达成情况、纠正及预防措施、公司的赢利、公司的财政目标进行讨论。审核员在审核管理评审时,该厂管理代表拿出此次会议记录给审核员看,审核员问有没有程序文件,管理代表拿出受控的董事会议规定给审核员,没有管理评审程序。
无不合格
4、在酒店厨房,审核员发现菜品出品记录上发现有两道菜品判定为不合格,审核员问两道菜现在何处,厨师长说已经重新返工,所以未检验已交付给顾客了。
不符合8.3条理由是返工的产品必须重新检验.5、在质量部发现五份顾客投诉服务质量的信件,但没有发现对此投诉处理的记录,质量部
长解释说,这类问题属于顾客无理要求,所以无需处理。
不符合8.2.1条没有及时处理,建立处理记录.五、不合格判及描述—据以下陈述的事实,判断是否为不合格,如果是,请指出不符合ISO9001相应条款,并用简要的语言对不合格进行描述。(10分)(任选2题)
1、审核员在酒店厨房中发现两包原料标明“客户来料”字样,厨师长解释说,这是顾客提供的鲍鱼,要求用在今晚的宴会上,审核员问对顾客提供的鲍鱼是否经过验证,厨师长说:“这些鲍鱼既然由客户提供,质量当然由他们负责,我们不用验证,再说,对这样的高档鲍鱼我们根本就没有检验的手段。”
不符合7.5.4条厨师长对顾客提供的鲍鱼说“这些鲍鱼既然由顾客提供,质量当然由他们负责,我们不用验证”
2、在某酒店客服中心审核客户投诉时,发现有6份同一客户的投诉报告均为客户关于房间电视画面不清晰的投诉,每次均采取了纠正措施,客服中心及客房部均与客户联络,且对电视机进行了修理,纠正措施也是有效的。
无不合格
3、采购部于98年6月12日,采购单编号为98123,向供应商ABC洗熨有限公司外包了一批布草洗熨、消毒,审核员检查了认可供应商名单,该ABC印刷有限公司不在认可供应商名单上,采购员解释说,该供应商的价格最低、服务最好。
不符合7.4条不合格事实是采购部于98年6月12日,采购单编号为98123,向供应商ABC洗熨有限公司外包了一批布草洗熨消毒,该ABC印刷有限公司不在认可供应商名单上。
第二篇:ISO质量管理体系
博兴县委办公室
全面导入ISO9001质量管理体系,积极打造“高质、高效、高标准”机关
去年以来,博兴县委办公室在县委的正确领导下,紧紧围绕县委中心工作,以“打造标准化、规范化、高质化机关”为目标,创新管理模式,改进工作方法,在滨州市党政办系统率先推行了ISO9001质量管理体系认证,并于去年10月份顺利通过验收,成为全市第一个通过认证的党委办公室,走在了全市乃至全省县级党委办公室的前列。2009年博兴县委办公室先后获得山东省青年文明号、山东省保密系统先进集体、全省涉台宣传调研工作先进单位、滨州市机关公文处理工作先进单位、滨州市党委系统信息工作先进单位等多项荣誉称号。
自办公室通过质量管理体系认证以来,各科室标准化、规范化、高质化建设得到进一步的推动,行政服务效能明显增强,服务水平进一步提高,服务质量进一步改善。具体表体现在以下五个方面:
一是服务观念发生明显变化。ISO9001质量管理体系的建立,使办公室的服务观念发生了很大变化,实现了由原来的强化内部管理向满足服务对象的要求转变,每名工作人员都能努力把服务对象的要求转变成自已的质量目标,坚持以-1-
顾客为关注焦点,以服务对象满意为最终目标,服务质量进一步提升。每名工作人员始终将县委的中心工作、县委领导的要求与自己的工作目标紧密结合在一起,更好的发挥了办公室的服务职能。
二是工作程序进一步规范。随着ISO质量管理体系的深入运行,办公室的各项工作进一步纳入规范化管理、标准化操作、程序化运行、制度化约束的轨道,工作人员进一步树立了标准化的理念,识别要求(顾客要求和法律法规要求)—服务策划—服务策划审查—服务提供—监测—交付—策划实施结果验证等七个步骤的工作流程成为指导办公室工作的重要原则。按程序办理各项工作和事务,用标准衡量工作业绩已成为大家的共识和自觉行动。由于各项工作都有章可循、有规可依、标准明确,从而使办公室工作进一步规范,运转更加有序,政令更加畅通,基本消除了漏办、滞办、错办现象。比如说公文办理这项工作,“公文办理的零失误”是工作人员追求的重要目标之一。ISO质量管理体系的实施,为这个目标的实现提供了可能。严格的工作流程,层层的审核把关,从而使办公室的公文办理真正实现了“零失误”。三是管理层的工作方法发生变化。过程方法是ISO的重要质量原则。导入ISO后,办公室在服务行为、在管理上实现了关口前移,将办公室办文、办会、办事作为实施服务行为的大过程,每一个具体的服务行为作为一个小过程,对整
个服务过程进行管理,在过程的实施阶段设置关口,严格把关,保证了办公室综合服务水平的持续提高。办公室管理层视野由原来的注重结果转向工作环节的关键控制点,保证了质量目标的实现。
四是自主管理能力进一步增强。ISO质量管理体系的实施,明确了岗位职责和工作标准,每个工作人员都能把相应的工作标准化为自身的目标,紧紧围绕让领导满意、让基层满意、让群众满意积极开展工作,每个科室、每个岗位都有据可依,有章可循,保障了工作的协调运转和有效衔接。五是办公室服务质量进一步提高。自ISO质量管理体系实施以来,办公室在决策参谋、督查落实、综合协调、后勤保障等方面,积极变被动服务为主动服务,认真领会和实施服务对象的意图和要求,增强了工作的预见性和超前性,提高了工作的成功率和服务对象的满意度,得到了服务对象的肯定和好评。
实践证明,ISO9001质量管理体系作为国际公认的先进的管理方式,完全适合党委办公室加强管理、提升工作的现实需求。在党委办公室引进运行质量管理体系认证,对转变机关作风,提高行政效能,培育现代公共管理理念,促进机关管理创新,具有重大的现实意义和积极的示范效用。
第三篇:ISO 质量 管理体系
ISO质量管理体系
ISO9001标准是世界上许多经济发达国家质量管理实践经验的科学总结,具有通用性和指导性。实施ISO9001标准,可以促进组织质量管理体系的改进和完善,对促进国际经济贸易活动、消除贸易技术壁垒、提高组织的管理水平都能起到良好的作用。概括起来,主要有以下几方面的作用和意义:
一、实施ISO9001标准有利于提高产品质量,保护消费者利益,提高产品可信程度
按ISO9001标准建立质量管理体系,通过体系的有效应用,促进企业持续地改进产品和过程,实现产品质量的稳定和提高,无疑是对消费者利益的一种最有效的保护,也增加了消费者选购合格供应商产品的可信程度。
二、提高企业管理能力
ISO9001标准鼓励企业在制定、实施质量管理体系时采用过程方法,通过识别和管理众多相互关联的活动,以及对这些活动进行系统的管理和连续的监视与控制,以实现顾客能接受的产品。此外,质量管理体系提供了持续改进的框架,增加顾客(消费者)和其他相关方满意的程度。因此,ISO9001标准为有效提高企业的管理能力和增强市场竞争能力提供了有效的方法。
三、有效于企业的持续改进和持续满足顾客的需求和期望
顾客的需求和期望是不断变化,这就促使企业持续地改进产品和过程。而质量管理体系要求恰恰为企业改进产品和过程提供了一条有效途径。
四、有利于增进国际贸易,消除技术壁垒
在国际经济技术合作中,ISO9001标准被作为相互认可的技术基础,ISO9001的质量管理体系认证制度也在国际范围中得到互认,并纳入合格评定的程序之中。世界贸易组织/技术壁垒协定(WTO/TBT)是WTO达成的一系列协定之一,它涉及技术法规、标准和合格评定程序。贯彻ISO9001标准为国际经济技术合作提供了国际通用的共同语言和准则;取得质量管理体系认证,已成为参与国内和国际贸易,增强竞争力的有力武器。因此,贯彻ISO9001标准对消除技术壁垒,排除贸易障碍起到了十分积极的作用。
ISO9000认证常识
一、什么叫ISO
ISO是一个组织的英语简称。其全称是International Organization for
Standardization , 翻译成中文就是“国际标准化组织”。
ISO是世界上最大的国际标准化组织。它成立于1947年2月23日,它的前身是1928年成立的“国际标准化协会国际联合会”(简称ISA)。IEC 也比较大。IEC即“国际电工委员会”,1906年在英国伦敦成立,是世界上最早的国际标准化组 1
织。IEC主要负责电工、电子领域的标准化活动。而ISO负责除电工、电子领域之外的所有其他领域的标准化活动。
ISO 宣称它的宗旨是“在世界上促进标准化及其相关活动的发展,以便于商品和服务的国际交换,在智力、科学、技术和经济领域开展合作。”
ISO 现有117个成员,包括117个国家和地区。
ISO的最高权力机构是每年一次的“全体大会”,其日常办事机构是中央秘书处,设在瑞士的日内瓦。中央秘书处现有170名职员,由秘书长领导。
二、什么叫ISO9000
ISO通过它的2856个技术机构开展技术活动。其中技术委员会(简称TC)共185个,分技术委员会(简称SC)共611 个,工作组(WG)2022个,特别工作组38个。ISO的2856个技术机构技术活动的成果(产品)是“国际标准”。
ISO现已制定出国际标准共10300多个,主要涉及各行各业各种产品(包括服务产品、知识产品等)的技术规范。
ISO制定出来的国际标准除了有规范的名称之外,还有编号,编号的格式是:ISO+标准号+[杠+分标准号]+冒号+发布年号(方括号中的内容可有可无),例如:ISO8402:1987、ISO9000-1:1994等,分别是某一个标准的编号。
但是,“ISO9000”不是指一个标准,而是一族标准的统称。根据ISO9000-1:1994的定义:“„ISO9000族‟是由ISO/TC176制定的所有国际标准。”
什么叫TC176呢?TC176即ISO中第176个技术委员会,它成立于1980年,全称是“品质保证技术委员会”,1987年又更名为“品质管理和品质保证技术委员会”。TC176专门负责制定品质管理和品质保证技术的标准。
TC176最早制定的一个标准是ISO8402:1986,名为《品质-术语》,于1986年6月15日正式发布。1987年3月,ISO又正式发布了ISO9000:1987、ISO9001:1987、ISO9002:1987、ISO9003:1987、ISO9004:1987共5个国际标准,与ISO8402:1986一起统称为”ISO9000系列标准”。
此后,TC176又于1990年发布了一个标准,1991年发布了三个标准,1992年发布了一个标准,1993年发布了五个标准;1994年没有另外发布标准,但是对前述“ISO9000系列标准”统一作了修改,分别改为ISO8402:1994、ISO9000-1:1994、ISO9001:1994、ISO9002:1994、ISO9003:1994、ISO9004-1:1994,并把TC176制定的标准定义为“ISO9000族”。1995年,TC176又发布了一个标准,编号是ISO10013:1995。
三、什么叫认证
“认证”一词的英文原意是一种出具证明文件的行动。ISO/IEC指南2:1986中对“认证”的定义是:“由可以充分信任的第三方证实某一经鉴定的产品或服务符合特定标准或规范性文件的活动。”
举例来说,对第一方(供方或卖方)生产的产品甲,第二方(需方或买方)无法判定其品质是否合格,而由第三方来判定。第三方既要对第一方负责,又要对第二方负责,不偏不倚,出具的证明要能获得双方的信任,这样的活动就叫做“认证”。
这就是说,第三方的认证活动必须公开、公正、公平,才能有效。这就要求第三方必须有绝对的权力和威信,必须独立于第一方和第二方之外,必须与第一方和第二方没有经济上的利害关系,或者有同等的利害关系,或者有维护双方权益的义务和责任,才能获得双方的充分信任。
那么,这个第三方的角色应该由谁来担当呢?显然,非国家或政府莫属。由国家或政府的机关直接担任这个角色,或者由国家或政府认可的组织去担任这个角色,这样的机关或组织就叫做“认证机构”,详见附录B。
现在,各国的认证机构主要开展如下两方面的认证业务:
1.产品品质认证
现代的第三方产品品质认证制度早在1903年发源于英国,是由英国工程标准委员会(BSI的前身)首创的。
在认证制度产生之前,供方(第一方)为了推销其产品,通常采用“产品合格声明”的方式,来博取顾客(第二方)的信任。这种方式,在当时产品简单,不需要专门的检测手段就可以直观判别优劣的情况下是可行的。但是,随着科学技术的发展,产品品种日益增多,产品的结构和性能日趋复杂,仅凭买方的知识和经验很难判断产品是否符合要求;加之供方的“产品合格声明”属于“王婆卖瓜,自卖自夸”的一套,真真假假,鱼龙混杂,并不总是可信,这种方式的信誉和作用就逐渐下降。在这种情况下,前述产品品质认证制度也就应运而生。1971年,ISO成立了“认证委员会(”CERTICO),1985年,易名为“合格评定委员会(”CASCO),促进了各国产品品质认证制度的发展。现在,全世界各国的产品品质认证一般都依据国际标准进行认证。国际标准中的60%是由ISO制定的,20%是由IEC
制定的,20%是由其他国际标准化组织制定的。也有很多是依据各国自己的国家标准和国外先进标准进行认证的,详见附录C。
产品品质认证包括合格认证和安全认证两种。依据标准中的性能要求进行认证叫做合格认证;依据标准中的安全要求进行认证叫做安全认证。前者是自愿的,后者是强制性的。
产品品质认证工作,从20世纪30年代后发展很快。
到了50年代,所有工业发达国家基本得到普及。第三世界的国家多数在70年代逐步推行。我国是从1981年4月才成立了第一个认证机构—“中国电子器件质量认证委员会”,虽然起步晚,但起点高,发展快。
2.品质管理体系认证
这种认证是由西方的品质保证活动发展起来的。1959年,美国国防部向国防部供应局下属的军工企业提出了品质保证要求,要求承包商“应制定和保持与其经营管理、规程相一致的有效的和经济的品质保证体系”,“应在实现合同要求的所有领域和过程(例如:设计、研制、制造、加工、装配、检验、试验、维护、装箱、储存和安装)中充分保证品质”,并对品质保证体系规定了两种统一的模式:军标MIL-Q-9858A《品质大纲要求》和军标MIL-I-45208《检验系统要求》。承包商要根据这两个模式编制“品质保证手册”,并有效实施。政府要对照文件逐步检查、评定实施情况。这实际上就是现代的第二方品质体系审核的雏形。这种办法促使承包商进行全面的品质管理,取得了极大的成功。后来,美国军工企业的这个经验很快被其他工业发达国家军工部门所采用,并逐步推广到民用工业,在西方各国蓬勃发展起来。
随着上述品质保证活动的迅速发展,各国的认证机
构在进行产品品质认证的时候,逐渐增加了对企业的品质保证体系进行审核的内容,进一步推动了品质保证活动的发展。到了70年代后期,英国一家认证机构BSI(英国标准协会)首先开展了单独的品质保证体系的认证业务,使品质保证活动由第二方审核发展到第三方认证,受到了各方面的欢迎,更加推动了品质保证活动的迅速发展。通过三年的实践,BSI认为,这种品质保证体系的认证适应面广,灵活性大,有向国际社会推广的价值。于是,在1979年向ISO提交了一项建议。ISO根据BSI的建议,当年即决定在ISO的认证委员会的“品质保证工作组”的基础上成立“品质保证委员会”。1980年,ISO正式批准成立了“品质保证技术委员会”(即TC176)着手这一工作,从而导致了前述“ISO9000族”标准的诞生,健全了单独的品质体系认证的制度,一方面扩大了原有品质认证机构的业务范围,另一方面又导致了一大批新的专门的品质体系认证机构的诞生。
自从1987年ISO9000系列标准问世以来,为了加强品质管理,适应品质竞争的需要,企业家们纷纷采用ISO9000系列标准在企业内部建立品质管理体系,申请品质体系认证,很快形成了一个世界性的潮流。目前,全世界已有近100个国家和地区正在积极推行ISO9000国际标准,约有40个品质体系认可机构,认可了约300家品质体系认证机构,20多万家企业拿到了ISO9000品质体系认证证书,第一个国际多边承认协议和区域多边承认协议也于1998年1月22日和1998年1月24日先后在中国广州诞生。
一套国际标准,在这短短的时间内被这么多国家采用,影响如此广泛,这是在国际标准化史上从未有过的现象,已经被公认为“ISO9000现象”。
希望以上信息对您有所帮助!
第四篇:信息安全管理体系审核员 真题
ISMS 201409/11
一、简答
1、内审不符合项完成了30/35,审核员给开了不符合,是否正确?你怎么审核?
[参考]不正确。应作如下审核:
(1)询问相关人员或查阅相关资料(不符合项整改计划或验证记录),了解内审不符合项的纠正措施实施情况,分析对不符合的原因确定是否充分,所实施的纠正措施是否有效;
(2)所采取的纠正措施是否与相关影响相适宜,如对业务的风险影响,风险控制策略和时间点目标要求,与组织的资源能力相适应。
(3)评估所采取的纠正措施带来的风险,如果该风险可接受,则采取纠正措施,反之可采取适当的控制措施即可。
综上,如果所有纠正措施符合风险要求,与相关影响相适宜,则纠正措施适宜。
2、在人力资源部查看网管培训记录,负责人说证书在本人手里,培训是外包的,成绩从那里要,要来后一看都合格,就结束了审核,对吗?
[参考]不对。
应按照标准GB/T 22080-2008条款5.2.2 培训、意识和能力的要求进行如下审核:(1)询问相关人员,了解是否有网管岗位说明书或相关职责、角色的文件?(2)查阅网管职责相关文件,文件中如何规定网管的岗位要求,这些要求基于教育、培训、经验、技术和应用能力方面的评价要求,以及相关的培训规程及评价方法;
(3)查阅网管培训记录,是否符合岗位能力要求和培训规程的规定要求?(4)了解相关部门和人员对网管培训后的工作能力确认和培训效果的评价,是否保持记录?
(5)如果岗位能力经评价不能满足要求时,组织是否按规定要求采取适当的措施,以保证岗位人员的能力要求。
二、案例分析
1、查某公司设备资产,负责人说台式机放在办公室,办公室做了来自环境的威胁的预防;笔记本经常带入带出,有时在家工作,领导同意了,在家也没什么不安全的。A 9.2.5 组织场所外的设备安全
应对组织场所的设备采取安全措施,要考虑工作在组织场所以外的不同风险
2、某公司操作系统升级都直接设置为系统自动升级,没出过什么事,因为买的都是正版。A 12.5.2 操作系统变更后应用的技术评审
当操作系统发生变更时,应对业务的关键应用进行评审和测试,以确保对组织的运行和安全没有负面影响。
3、创新公司委托专业互联网运营商提供网络运营,供应商为了提升服务级别,采用了新技术,也通知了创新公司,但创新认为新技术肯定更好,就没采取任何措施,后来因为软件不兼容造成断网了。
A 10.2.3 第三方服务的变更管理 应管理服务提供的变更,包括保持和改进现有的信息安全策略、规程和控制措施,并考虑到业务系统和涉及过程的关键程度及风险的评估。
4、查某公司信息安全事件处理时,有好几份处理报告的原因都是感染计算机病毒,负责人说我们严格的杀毒软件下载应用规程,不知道为什么没有效,估计其它方法更没用了。8.2纠正措施
5、查看 web服务器日志发现,最近几次经常重启,负责人说刚买来还好用,最近总死机,都联系不上供应商负责人了。
A 10.2.1 应确保第三方实施、运行和保持包含在第三方服务交付服务交付协议中的安全控制措施、服务定义和交付水准。
单选纠错(选择一个最佳可行的答案)
1、一个组织或安全域内所有信息处理设施与已设精确时钟源同步是为了:便于探测未经授权的信息处理活动的发生。A.10.10
2、网络路由控制应遵从:确保计算机连接和信息流不违反业务应用的访问控制策略。A.11.4.7
3、针对信息系统的软件包,应尽量劝阻对软件包实施变更,以规避变更的风险。A.12.5.3
4、国家信息安全等级保护采取:自主定级、自主保护的原则。
5、对于用户访问信息系统使用的口令,如果使用生物识别技术,可替代口令。A.11.3.1
6、信息安全灾备管理中,“恢复点目标”指:灾难发生后,系统和数据必须恢复到的时间点要求。
7、关于IT系统审核,以下说法正确的是:组织经评估认为IT系统审计风险不可接受时,可以删减。A.15.3
8、依据GB/T 22080,组织与员工的保密性协议的内容应:反映组织信息保护需要的保密性或不泄露协议要求。A.6.1.5
9、为了防止对应用系统中信息的未授权访问,正确的做法是:按照访问控制策略限制用户访问应用系统功能和隔离敏感系统。A.11.1.1 A.11.6.2
10、对于所有拟定的纠正和预防措施,在实施前应先通过(风险分析)过程进行评审。
11、不属于WEB服务器的安全措施是(保证注册帐户的时效性)。
12、文件初审是评价受审核方ISMS文件的描述与审核准则的(符合性)。
13、国家对于经营性互联网信息服务实施:许可制度。
14、针对获证组织扩大范围的审核,以下说法正确的是:一种特殊审核,可以和监督审核一起进行。
15、信息安全管理体系初次认证审核时,第一阶段审核应:对受审核方信息安全管理体系文件进行审核和符合性评价。
16、文件在信息安全管理体系中是一个必须的要素,文件有助于:确保可追溯性。
17、对一段时间内发生的信息安全事件类型、频次、处理成本的统计分析属于事件管理。
18、哪一种安全技术是鉴别用户身份的最好方法:生物测量技术。
19、最佳的提供本地服务器上的处理工资数据的访问控制是:使用软件来约束授权用户的访问。20、当计划对组织的远程办公系统进行加密时,应该首先回答下面哪一个问题:系统和数据具有什么样的敏感程度。
简述题
1、审核员在某公司审核时,发现该公司从保安公司聘用的保安的门卡可通行公司所有的门禁。公司主管信息安全的负责人解释说,因保安负责公司的物理区域安全,他们夜里以及节假日要值班和巡查所有区域,所以只能给保安全权限门卡。审核员对此解释表示认同。如果你是审核员,你将如何做?
答:应根据标准GB/T 22080-2008条款A.11.1.1审核以下内容:(1)是否有形成文件的访问控制策略,并且包含针对公司每一部分物理区域的访问控制策略的内容?
(2)访问控制策略是否基于业务和访问的安全要素进行过评审?(3)核实保安角色是否在访问控制策略中有明确规定?
(4)核实访问控制策略的制定是否与各物理区域风险评价的结果一致?(5)核实发生过的信息安全事件,是否与物理区域非授权进入有关?(6)核实如何对保安进行背景调查,是否明确了其安全角色和职责?
2、请阐述对GB/T 22080中A.13.2.2的审核思路。答:(1)询问相关责任人,查阅文件3-5份,了解如何规定对信息安全事件进行总结的机制?该机制中是否明确定义了信息安全事件的类型?该机制是否规定了量化和监视信息安全事件类型、数量和代价的方法和要求,并包括成功的和未遂事件?
(2)查阅监视或记录3-15条,查阅总结报告文件3-5份,了解是否针对信息安全事件进行测量,是否就类型、数量和代价进行了量化的总结,并包括成功的和未遂事件。(3)查阅文件和记录以及访问相关责任人,核实根据监视和量化总结的结果采取后续措施有效防止同类事件的再发生。
案例分析题
1、不符合标准GB/T 22080-2008条款 A.11.4.6 网络连接控制“对于共享的网络,特别是越过组织边界的网络,用户的联网能力应按照访问控制策略和业务应用要求加以限制(见A.11.1)。”的要求。
不符合事实:某知名网站总部陈列室中5台演示用的电脑可以连接外网和内网。
2、不符合标准GB/T 22080-2008条款 A9.1.2 物理入口控制“安全区域应由适合的入口控制所保护,以确保只有授权的人员才允许访问。”的要求。
不符合事实:现场发现未经授权的人员张X进出机器和网络操作机房,却没有任何登记记录,而程序文件(GX28)规定除授权工作人员可凭磁卡进出外,其余人员进出均须办理准入和登记手续。
3、不符合标准GB/T 22080-2008条款4.2.1 d)识别风险“3)识别可能被威胁利用的脆弱性;”的要求。
不符合事实:现场管理人员认为下载的软件都是从知名网站上下载的,不会有问题。
4、不符合标准GB/T 22080-2008条款8.2 纠正措施“组织应采取措施,以消除与ISMS要求不符合的原因,以防止再发生。”的要求。
不符合事实:XX银行在2008年一季度发生了10起网银客户资金损失事故,4-5月又发生7起类似事故。
5、不符合标准GB/T 22080-2008条款A.11.6.1信息访问控制“用户和支持人员对信息和应用系统功能的访问应依照已确定的访问控制策略加以限制”的要求。不符合事实:开发人员可以修改测试问题记录。
6、不符合标准GB/T 22080-2008条款A.7.1.3资产的可接受使用“与信息处理设施有关的信息和资产可接受使用规则应被确定、形成文件并加以实施”的要求。
不符合事实:非常敏感的系统设计文件,公司要求开发人员只可读,不可以修改,且不可以在公司其他部门传阅,但未对开发人员是否可以打印进行规定。
7、不符合标准GB/T 22080-2008条款A.11.3.3清空桌面和屏幕策略“应采取清空桌面上文件、可移动存储介质的策略和清空信息处理设施屏幕的策略”的要求。
不符合事实:敏感票据印刷企业的制版工艺工艺师办公桌上散放着三份含水量有票据制版工艺要求的生产通知单。
第五篇:iso质量管理体系学习心得
体系学习心得
通过近段时间的体系学习、讨论,对质量管理体系又有如下的认识:
一、公司建立质量管理体系,我认为目的应该是通过它的运行,致力于“使与公司质量目标有关的结果”适当地满足顾客及其他相关方的需求、期望和要求,最终使企业获得更好的经济效益。这里所说的“与公司质量目标有关的结果”体现在公司的产品质量、产品服务等方面。
二、只要我们企业在质量管理方面做到了真正满足或达到ISO9001-质量管理体系的要求,就能够向外界证实,我们公司有能力可以稳定地提供满足顾客和法律法规要求的产品。
三、在体系的建立和运行的整个环节中,过程的概念一直贯穿其中。所以理解、识别、管理过程,对我们有效运行体系和持续改进体系有很大益处。
例如体系的建立本身就是一个过程:输入为:公司质量方针、质量目标、相关资源,输出为:质量手册、程序文件、第三层次文件,而这其中的活动有:管带牵头负责的策划、编写文件工作及体系运行中各部门的测量(验证)、分析(建议)和改进活动。
对单个过程的管理,基本思路是采用PDCA的方法 1)过程的策划。
包括方针和目标的确定一级活动计划的制定。在这个阶段主要是找出存在的问题,通过分析,制定改进的目标,确定达到这些目标的措施和方法。其具体步骤为:分析现状,找出存在的问题;分析产生问题的原因;找出影响质量的主要原因,制定措施和计划。2)过程的实施。
实施就是具体运作,按照策划要求组织实施,使过程正常运转起来。在实施中,应当对过程进行控制,及时发现问题或异常情况,及时采取措施,使问题得到解决。
3)过程的检查。
对过程的结果应采取适当的方法进行验证,并根据验证结果对过程进行确认。所谓验证,就是对过程输出进行某种方式的测量,然后对照输入的要求,看其是否符合。如果符合要求,说明过程是成功的,如果存在问题,就应该采取纠正措施。
4)过程的改进。
过程经过检查,发现有问题,就要及时进行改进。也就是对过程的结构、输出、输入、活动、人员及其它资源进行改变,甚至可能导致对过程的重新策划。